패스키는 여전히 문제를 안고 있다

• 2025년 현재도 패스키(Passkey) 는 보안성과 편의성 논의 속에서 여전히 사용자 경험과 벤더 종속성 문제를 안고 있음
• 새로 도입된 FIDO Credential Exchange는 공급자 간 이동을 가능하게 하지만, 플랫폼 간 마찰과 단편화 문제는 여전함
• Apple, Google, Microsoft 등 플랫폼 관리자의 백업 불가·잠금 위험이 지속되며, 사용자 선택을 제한하는 UI 설계가 문제로 지적됨
• 패스키 개념의 난해함과 서비스의 오해를 부르는 커뮤니케이션이 일반 사용자 신뢰를 떨어뜨림
• 핵심 계정 보호를 위해 자체 제어 가능한 Credential Manager와 Yubikey 같은 하드웨어 키 사용이 중요함

TL;DR 요약

• 패스키에는 여전히 결함이 존재하며, 사용자는 이를 이해하고 자신의 조건에 맞게 활용해야 함
  • 플랫폼 제공자(Apple, Google, Microsoft)의 Credential Manager만 사용하는 것은 백업 불가 및 잠금 위험이 있음
  • Bitwarden, Vaultwarden 등 백업 가능한 Credential Manager 사용 권장
  • FIDO Credential Exchange를 통해 외부 Credential Manager로 정기 동기화 필요
  • 이메일 등 중요 계정은 Yubikey를 패스키 저장소로 사용하고, 강력한 비밀번호 + TOTP를 보조 수단으로 유지
  • Credential Manager 접근 불가 시 복구 경로를 사전에 점검해야 함

지난 1년간의 변화

• 주요 변화는 FIDO Credential Exchange 사양 도입임
  • 이를 통해 패스키 제공자 간 자격 증명 이동이 가능해졌음
• 그러나 플랫폼 간 마찰과 생태계 단절은 여전히 존재
  • 서로 다른 기기 간 패스키가 단편화될 수 있으며, 사용자는 이를 인식하지 못할 가능성 있음
  • Apple 기기의 패스키는 비Apple 기기로 동기화 불가, 반면 Google·Microsoft는 일부 가능
  • Apple 사용자는 더 강한 종속성을 느낄 수 있음

패스키 개념의 난해함

• 비밀번호는 “내가 아는 것”, SMS 2FA는 “내가 받을 수 있는 것”으로 직관적 이해 가능
• 반면 패스키는 눈에 보이지 않는 인증 요소로, 사용자가 직접 확인하거나 인쇄할 수 없음
• Credential Manager를 신뢰하는 과정이 필요하지만, 패스키는 그 신뢰 단계를 건너뛰게 함
• 보안 전문가조차 패스키의 작동 원리를 혼동할 정도로 이해 장벽이 높음

‘사고 리더십’과 사용자 교육 문제

• 일부 업계 인사는 “패스워드 관리 학습은 산업의 실패”라고 주장하지만,
  실제로는 패스키도 Credential Manager 이해가 필수
• 패스워드·TOTP를 선호하는 사용자는 오만해서가 아니라 사용성 문제 때문일 수 있음
• 패스키가 사용자 교육 없이도 작동한다는 믿음은 현실과 동떨어진 인식임
• 사용자가 충분히 이해한 뒤에도 패스키 대신 다른 방식을 택한다면, 패스키가 그 사용자에게 실패한 것임

여전한 벤더 종속성

• FIDO Credential Exchange가 존재해도, 실제 사용 과정의 마찰과 UI 유도 설계가 전환 비용을 높임
• Apple의 패스키 생성 모달은 기본적으로 Apple Keychain 사용을 유도,
  다른 옵션(보안키, Android 등)은 ‘Other Options’ 에 숨겨져 있음
• 사용자의 선택이 기억되지 않으며, 매번 기본값으로 되돌아감
• Google Chrome도 유사한 구조를 가지며, 플랫폼 생태계에 머물도록 유도
• 이는 단순한 저장 위치 문제가 아니라, 사용자 경험 전반의 종속성으로 이어짐

클라우드 키체인 데이터 손실

• Apple Keychain에서 패스키가 사라지거나, Android 기기에서 생성·사용 불가 사례 지속
• 일부 사례에서는 기기 초기화로도 복구 불가, 사용자 계정 접근이 완전히 차단됨
• 이러한 문제는 패스키 신뢰도 하락으로 이어짐

벤더에 의한 계정 잠금

• Apple 계정 잠금 사례에서 모든 패스키가 복구 불가 상태로 소멸
• Google, Microsoft에서도 유사 사례 존재
• 단일 계정 조치로 모든 자격 증명이 파괴될 위험이 있음

인증 서비스의 오해 유발 커뮤니케이션

• 일부 서비스는 “패스키가 얼굴·지문 데이터를 전송한다”고 설명
• 실제로는 생체정보가 기기 밖으로 나가지 않지만,
  일반 사용자는 이를 ‘얼굴/지문이 인터넷으로 전송된다’ 고 오해
• 이러한 설명은 패스키에 대한 불신과 거부감을 초래
• 플랫폼 제공자의 UI도 이러한 오해를 해소하지 못함

사용자 선택을 제한하는 인증 서비스

• 일부 웹사이트는 여전히 단일 패스키만 허용하거나,
  authenticatorAttachment 옵션으로 플랫폼 종속 패스키만 강제
• 이는 보안키나 비플랫폼 Credential Manager 사용을 차단함
• 일부 사이트는 로그인 시 사전 동의 없이 자동 패스키 등록을 시도하는 등 비윤리적 행태도 존재

결론 및 권장 사항

• 대부분의 문제는 플랫폼 제공자 중심의 패스키 관리 구조에서 발생
• 사용자는 자체 제어 가능한 Credential Manager를 통해
  계정 잠금·데이터 손실 위험을 줄이고 정기 백업을 수행해야 함
• Yubikey(펌웨어 5.7 이상) 는 최대 150개의 패스키 저장 가능
  • 일부 계정은 소프트웨어 Credential Manager를 대체 가능
• 이메일 계정은 복구 경로의 핵심이므로,
  하드웨어 키 + 강력한 비밀번호 + TOTP를 병행하고 오프라인 백업 유지 필요
• Apple·Google 등 플랫폼은 사용자의 선택을 기억하고
  보안키·타 공급자 선택을 UI에서 동등하게 제공해야 함
• 개발자는 WebAuthn API의 사전 필터링을 피하고,
  사용자에게 명확히 고지 후 패스키 등록을 진행해야 함
• 핵심 원칙은 사용자 통제권과 동의(consent) 확보임